10月最終週になってから、2017年から動きが再び活発化していた悪名高いマルウェアファミリ「Emotet」が大幅にアップデートされ、脅威度が高まっていることが明らかになった。
米国時間10月31日にKryptos Logicから米ZDNetに提供されたレポートによると、10月29日から、マルウェアファミリEmotetが感染した被害者の電子メールメッセージを大量に収集し始めたという。
Emotetの背後にいるサイバー犯罪グループは、2014年から活動している。同グループが最初に拡散したバージョンのマルウェアは、オンライン銀行取引を狙うトロイの木馬だった。
このバンキング型トロイの木馬はあまり大きな脅威にはならず、その後3年間でゆっくりと勢力を失っていったが、2017年になってコードが大きく変更されて、ユーザーを感染させることを主な機能とし、ほかのサイバー犯罪グループの2次的なペイロードを運んで、インストールごとに料金を徴収する仕組みを採用した、モジュール型のマルウェアに生まれ変わった。
その後、Emotetは機能の面でも被害者の数の面でも大きく成長してきている。
このマルウェアは大流行しており、2018年夏には、米国土安全保障省がEmotetが企業ネットワークに与える脅威について警告するセキュリティアドバイザリを公表するまでになっている。
Emotetが危険なのは、一度足がかりを獲得されると、そこから多数の小さなモジュールがダウンロードされることだ。それらのモジュールの中には、 Server Message Block(SMB)の脆弱性を悪用してネットワーク内で横方向に広がる仕組みを備えているものなどもあり、大規模な組織の内側で大きな被害を引き起こす可能性がある。
さらに、Emotetは単体で感染することはなく、情報を盗む「TrickBot」や、リモートアクセスを可能にするトロイの木馬など、さらに強力なマルウェアを持ち込むことが多い。最悪の場合は、そこにランサムウェアが含まれている場合もある。
A closer look at three #Emotet infections that ultimately resulted in #ransomware being dropped: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o
— Barkly (@barklyprotects) October 30, 2018
米ペンシルバニア州アレンタウン市の有名な事例では、Emotetが市のネットワークの隅々まで広がり、さらに多くのマルウェアがダウンロードされ、最終的には100万ドル近くの費用をかけてインフラをゼロから再構築することになった。
しかしKryptos Logicによれば、企業のネットワーク管理者は、10月30日を境に別の問題も抱えることになったという。それは、感染したシステムからの秘密を要するユーザーデータの流出だ。
原因はEmotetの新たなモジュールで、このモジュールは感染したホストが過去180日の間に送受信したすべての電子メールメッセージを無差別に収集する機能を持っている。幸い、このモジュールは(現時点では)「Microsoft Outlook」を使用している環境でしか機能しない。
一見すると、害は大きくないようにも思えるかもしれないが、サイバー犯罪者に秘密を要する電子メールメッセージを盗まれるのは情報漏えいとほぼ同義であり、このEmotetのモジュールに感染した企業の多くは、データ漏えいに関する告知手続きを進め、発表に伴う報道対応も行わなければならなくなる可能性が高い。